Сотрудники – самая страшная угроза для конфиденциальных данных компании
О необходимости внедрения внутренней политики безопасности мы говорим часто и много. Причиной, побуждающей вновь и вновь поднимать эту тему, становится неутешительная статистика, согласно которой, многие инциденты, связанные с кражей ценной корпоративной информации, стали возможными, благодаря участию сотрудников предприятия. Хотя для отрасли существование этой проблемы – не новость, сегодня в пресс-релизе одной из компаний, представляющей на российском рынке PAM-решения, появились совсем уж нелицеприятные цифры, судя по которым, вообще не понятно, как до сих пор сохраняются хоть какие-то корпоративные секреты. Как вы считаете, стоит ли верить этим данным?
В последнее время некоторые вполне уважаемые компании взяли за моду рассылать свои пресс-релизы по автоматически агрегированной базе адресов, особо не спрашивая, хотят ли адресаты получать эту информацию. Обычно такие сообщения сами перенаправляются в папку со спамом, но сегодня одно из писем каким-то образом избежало автоматического фильтра. В письме, оформленном в виде новостной рассылки (и подписанном российской ИТ-компанией, представляющей в России интересы некого мирового гиганта), была представлена довольно интересная статистика относительно вероятности нанесения ущерба важным корпоративным данным из разных источников.
Как утверждали авторы рассылки, с наибольшей вероятностью ущерба стоит ждать со стороны рядовых сотрудников. По статистике с ними связано порядка 45,5% инцидентов, связанных с утечкой корпоративной информации. Лишь на втором месте с результатом в 41,6% оказался вредоносный код. Прочие источники угроз отстают с большим отрывом (здесь и далее я привожу классификацию угроз, принятую в упомянутом пресс-релизе). Так, к примеру, различные интернет-атаки участвуют в 23,5% инцидентов, а выделенные в отдельную группу атаки по типу «отказа в обслуживании» (DoS) – 13,1%. Похищение устройств, которого так боятся ИТ-депертаменты предприятий, только начинающих свой путь к мобильным сотрудникам, ответственно всего за 10,7% инцидентов, а фишинг и атаки, сконструированные на основе социальных взаимодействий (заставляющие сотрудников раскрывать информацию, фактически, без злого умысла с их стороны) – лишь 9,1%. Вирусы, трояны, сетевые черви, ботнеты и другие вредоносные программы в общей сложности набрали менее 10% (если быть точными – 8,3%).
Стоит отметить, что сотрудники компаний и сами не особо скрывают от аналитиков собственные «корыстные планы». Согласно опубликованным данным, 35% ИТ-администраторов регулярно используют служебное положение для доступа к информации, которая по должностной инструкции не должна к ним поступать. Половина ИТ-администраторов готова в случае увольнения забрать с собой часть этой информации. Интересуют их при этом в основном клиентские данные, пароли доступа к ресурсам, планы по разработке и исследованиям, финансовая отчетность, планы по слиянию. Иными словами, любая информация, которая может иметь хоть какую-то ценность на стороне. 74% ИТ-специалистов не особо замечают барьеры из существующих на предприятиях систем безопасности, обходя предусмотренную ими защиту.
Чтобы не приводить здесь весь пресс-релиз, укажу ссылку на его копию он-лайн. Интересно, что на сайте самой компании, которой был подписан релиз, текста рассылки не обнаружилось. Желающие могут ознакомиться с полным текстом в общей базе службы распространения пресс-релизов.
Увы, данные были опубликованы без ссылки на первоисточник (аналитическое агентство или компанию, проводившую опрос) и даже без описания аудитории, на которой проводилось исследование. Более того, найти в открытых источников хотя бы подобие этих таблиц на русском или английском языке не удалось. Но, как это ни печально, цифры выглядят вполне правдоподобно. Чуть более трех лет назад (в условиях увольнений по итогам кризиса) тему поднимали на SecurityLab. Авторы привели статистику Verizon, согласно которой 18% всех киберпреступлений на тот момент были совершены «инсайдерами». Это значительно меньше, нежели показали данные пресс-релиза, но и количество кибер-преступлений год от года неуклонно растет. Несмотря на это, компании уделяют довольно мало внимания внедрению специальных средств защиты от инсайдеров.
Как вы считаете, стоит ли верить подобным данным? Действительно ли сотрудники настолько ослабляют политику безопасности компании в отношении конфиденциальных данных? Или «ради красного словца» (повышения продаж) авторы пресс-релиза исказили реальную ситуацию?